Entwurf einer KI-Verordnung

Neben zahlreichen EU-Verordnungen, die in den letzten Jahren beschlossen wurden, gibt es jetzt auch einen Vorschlag der EU-Kommission für eine „Verordnung des Europäischen Parlaments und des Rates zur Feststellung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union“. Hinter diesem sperrigen Namen steht der Entwurf einer KI-Verordnung (KI-VO-E), die einen Rahmen für die Verwendung und Entwicklung von KI schaffen soll. Wir haben uns diese Verordnung angesehen, da die Verwendung von KI dazu führen kann, dass die Grundrechte zum Schutz personenbezogener Daten verletzt werden könnten. Man darf auch nicht außer Acht lassen, dass das „Lernen“ der KI riesige Datenmengen benötigt.

Anwendungsbereich

Die DSGVO bleibt durch die KI-Verordnung unberührt. Beide Verordnungen gelten nebeneinander und müssen beachtet werden. So müssen also, sofern personenbezogene Daten bei der Entwicklung und Verwendung von KI-Systemen verwendet werden, auch die Anforderungen aus der DSGVO umgesetzt werden. So ist in Art. 22 DSGVO geregelt, dass eine Person nicht benachteiligt werden darf aufgrund automatisierter Entscheidungen im Einzelfall. Ausnahmen von diesem Verbot: bei Erforderlichkeit für den Abschluss oder die Erfüllung eines Vertrags, bei Gestattung durch ein Gesetz oder sofern die Einwilligung der Person vorliegt.

Für wen soll die KI-VO zukünftig gelten?

Der sachliche Geltungsbereich der KI-VO soll

  • Anbieter, die KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen, unabhängig davon, ob diese Anbieter in der EU oder in einem Drittland sitzen;
  • Nutzer von KI-Systemen, die sich in der EU befinden;
  • Anbieter und Nutzer von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis in der EU verwendet wird

umfassen.

„Anbieter“ sind alle, die ein KI-System entwickeln oder entwickeln lassen, um es unter ihrem eigenen Namen oder ihrer eigenen Marke – entgeltlich oder unentgeltlich – in Verkehr zu bringen oder in Betrieb zu nehmen.

„Nutzer“ sind alle, die ein KI-System in eigener Verantwortung verwenden, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet. Also nicht die Endnutzer*innen, wie man vermuten könnte, sondern die nutzenden Unternehmen.

Und dann gibt es noch die „Einführer“, das sind alle in der EU ansässigen, die ein KI-System, das den Namen oder die Marke einer außerhalb der EU ansässigen oder niedergelassenen natürlichen oder juristischen Person trägt, in der EU in Verkehr bringen oder in Betrieb nehmen. Das bedeutet, dass die KI-VO auch für Unternehmen mit Sitz außerhalb der EU gelten soll, wenn das vom System hervorgebrachte Ergebnis in der EU verwendet wird.

Es gibt darüber hinaus einige Bereiche, für die die KI-VO nicht gelten soll. Hierzu gehören KI-Systeme für Behörden in Drittländern und internationale Organisationen, im Bereich der Strafverfolgung und justiziellen Zusammenarbeit und KI-Systeme für militärische Zwecke.

Anforderungen aus der DSGVO

Der KI-VO-E führt einige Anforderungen auf, die beim „Anlernen“ der KI-Systeme hinsichtlich der Datensätze zu beachten seien: Sie müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Die KI-VO selbst wird allerdings nicht die Rechtsgrundlage für die Datennutzung sein können, diese ist weiterhin in Art. Art. 6 DSGVO zu suchen. So kommt beispielsweise eine Einwilligung in Betracht.

Alle Anforderungen der DSGVO sind auch bei den KI-Systemen zu berücksichtigen. Das sind neben dem o.g. Art. 22 DSGVO insbesondere auch Maßnahmen um die Rechte der betroffenen Personen, wie z. B.  Informationen über die Verarbeitung einzuhalten, Datenschutz durch Technikgestaltung umzusetzen, Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM), Berücksichtigung des grenzüberschreitenden Datenverkehrs. Ebenso gilt dies für die Einschränkungen des Art. 9 DSGVO bezüglich der Verarbeitung besonderer Kategorien personenbezogener Daten.

Nationale zuständige Behörden sind aufgefordert, Reallabore einzurichten, um auf der Grundlage eines mit den zuständigen Behörden vereinbarten Testplans, für eine begrenzte Zeit Testumgebungen einzurichten. Dies soll dazu dienen, die Entwicklung und Erprobung innovativer KI-Systeme vor deren Inverkehrbringen oder anderweitiger Inbetriebnahme unter Regulierungsaufsicht zu erleichtern. Hierbei dürfen personenbezogene Daten, die rechtmäßig für andere Zwecke erhoben wurden, zur Entwicklung und Erprobung bestimmter innovativer KI-Systeme im Reallabor verarbeitet werden, wenn ein erhebliches öffentliches Interesse daran besteht. Das kann beispielsweise der Fall sein im Bereich der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten, Verhütung, Bekämpfung und Behandlung von Krankheiten oder im Rahmen des Umweltschutzes.

Verbotene Praktiken im Bereich der KI

Bestimmte Praktiken im Bereich der künstlichen Intelligenz sind verboten. Hierbei handelt es sich um das Inverkehrbringen, die Inbetriebnahme oder die Verwendung eines KI-Systems,

  • das Techniken der unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person einsetzt, um das Verhalten einer Person in einer Weise wesentlich zu beeinflussen, die dieser Person oder einer anderen Person einen physischen oder psychischen Schaden zufügt oder zufügen kann;
  • das eine Schwäche oder Schutzbedürftigkeit einer bestimmten Gruppe von Personen aufgrund ihres Alters oder ihrer körperlichen oder geistigen Behinderung ausnutzt, um das Verhalten einer dieser Gruppe angehörenden Person in einer Weise wesentlich zu beeinflussen, die dieser Person oder einer anderen Person einen physischen oder psychischen Schaden zufügt oder zufügen kann;
  • durch Behörden oder in deren Auftrag zur Bewertung oder Klassifizierung der Vertrauenswürdigkeit natürlicher Personen über einen bestimmten Zeitraum auf der Grundlage ihres sozialen Verhaltens oder bekannter oder vorhergesagter persönlicher Eigenschaften oder Persönlichkeitsmerkmale, wobei die soziale Bewertung zu einem oder beiden der folgenden Ergebnisse führt: Schlechterstellung oder Benachteiligung bestimmter natürlicher Personen oder ganzer Gruppen natürlicher Personen,
    • in sozialen Zusammenhängen, die in keinem Zusammenhang zu den Umständen stehen, unter denen die Daten ursprünglich erzeugt oder erfasst wurden;
    • in einer Weise, die im Hinblick auf ihr soziales Verhalten oder dessen Tragweite ungerechtfertigt oder unverhältnismäßig ist.
  • Die Verwendung biometrischer Echtzeit-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken, außer wenn und insoweit dies im Hinblick auf eines der folgenden Ziele unbedingt erforderlich ist:
    • gezielte Suche nach bestimmten potenziellen Opfern von Straftaten oder nach vermissten Kindern;
    • Abwenden einer konkreten, erheblichen und unmittelbaren Gefahr für das Leben oder die körperliche Unversehrtheit natürlicher Personen oder eines Terroranschlags;
    • Erkennen, Aufspüren, Identifizieren oder Verfolgen eines Täters oder Verdächtigen einer Straftat im Sinne des Art. 2 Abs. 2 des Rahmenbeschlusses über den Europäischen Haftbefehl und die Übergabeverfahren zwischen den Mitgliedstaaten, der in dem betreffenden Mitgliedstaat nach dessen Recht mit einer Freiheitsstrafe oder einer freiheitsentziehenden Maßregel der Sicherung im Höchstmaß von mindestens drei Jahren bedroht ist.

Hochrisiko-KI-Systeme

Die meisten Systeme werden voraussichtlich im Bereich geringer Risiken angesiedelt sein. Hierzu würden wir beispielsweise auf KI basierende SPAM-Filter zählen. Für die KI-Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, gelten besondere Anforderungen. Es sind zwei Hauptkategorien für die Einstufung als Hochrisiko-KI-System maßgeblich:

  • KI-Systeme, die als Sicherheitskomponenten von Produkten, die einer Vorab-Konformitätsbewertung durch Dritte unterliegen, verwendet werden sollen;
  • sonstige eigenständige KI-Systeme, die ausdrücklich in Anhang III der KI-VO-E genannt werden und sich vor allem auf die Grundrechte auswirken. Dabei handelt es sich um KI-Systeme
    • zur biometrischen Echtzeit-Fernidentifizierung und nachträglichen biometrischen Fernidentifizierung
    • zur Verwaltung und zum Betrieb kritischer Infrastrukturen
    • für die Entscheidungen über den Zugang oder die Zuweisung natürlicher Personen zu Einrichtungen der allgemeinen und beruflichen Bildung
    • zur Bewertung von Schülern oder Teilnehmern an üblicherweise für die Zulassung zu Bildungseinrichtungen erforderlichen Tests
    • zur Entscheidung bei der Bewerberauswahl
    • zu Entscheidungen über Beförderungen und über Kündigungen von Arbeitsvertragsverhältnissen, für die Aufgabenzuweisung sowie für die Überwachung und Bewertung der Leistung und des Verhaltens von Personen in Beschäftigungsverhältnissen
    • für die Zugänglichkeit und Inanspruchnahme grundlegender privater und öffentlicher Dienste und Leistungen
    • im Rahmen der Strafverfolgung
    • im Rahmen Migration, Asyl und Grenzkontrolle
    • zur Unterstützung von Justizbehörden bei der Ermittlung und Auslegung von Sachverhalten und Rechtsvorschriften und bei der Anwendung des Rechts auf konkrete Sachverhalte.

Transparenzpflichten für bestimmte KI-Systeme

Es gelten Transparenzpflichten für Systeme die

  • mit Menschen interagieren,
  • zur Erkennung von Emotionen oder zur Assoziierung (gesellschaftlicher) Kategorien anhand biometrischer Daten eingesetzt werden oder
  • Inhalte erzeugen oder manipulieren (sogenannte „Deepfakes“).

Wenn Personen mit KI-Systemen interagieren oder wenn deren Emotionen oder Merkmale durch automatisierte Mittel erkannt werden, müssen die Menschen beim Einsatz der KI hierüber informiert werden. Die betroffenen Personen müssen zum Zeitpunkt der Interaktion oder der anderen Anwendung der KI wissen, dass Sie es mit einem solchen System zu tun haben.

Wenn ein KI-System eingesetzt wird, um Bild-, Audio- oder Video-Inhalte zu erzeugen oder zu manipulieren, so dass sie von authentischen Inhalten kaum zu unterscheiden sind, muss, abgesehen von Zwecken, die den Ausnahmen der KI-VO-E unterliegen (Strafverfolgung, Meinungsfreiheit, etc.), die Person darüber informiert werden, dass der Inhalt durch automatisierte Mittel erzeugt wurde. Diese Information soll dazu dienen, die Person in die Lage zu versetzen, bewusst Entscheidungen treffen und bestimmte Situationen vermeiden zu können.

Fazit und Aussicht

Die Herausforderungen im Zusammenhang mit dem Datenschutz sind bei KI-Systemen deutlich größer als bei klassischen Systemen. Das liegt auch daran, dass durch bestimmte KI-Verfahren oder unter Hinzunahme von Daten aus anderen Datensätzen, Personen unter Umständen leichter identifizierbar sein können.

Die KI-VO-E ist ein groß angelegtes Technologieregulierungsvorhaben, das den Spagat schaffen muss zwischen der Stärkung der Wirtschaft bei der Nutzung von KI und Förderung der Entwicklung der KI einerseits sowie dem Schutz der Grund- und Bürger*innenrechte anderseits. Inwieweit das mit der zukünftig verabschiedeten Verordnung gelingen wird, bleibt abzuwarten.

Auf jeden Fall wird KI uns in nächster Zeit verstärkt begleiten. So hat die hessische Landesregierung bereits zehn Millionen Euro in den Aufbau eines Forschungslabors für KI investiert. Das Forschungslabor richtet sich unter anderem an mittelständische Unternehmen und Start-ups, die sich KI bei der Werkstoff- oder Medikamentenentwicklung zunutze machen wollen. Vor allem erhofft man sich, dass Start-ups die ihnen dadurch gegebenen Möglichkeiten nutzen, um den bestehenden Markt wesentlich zu verändern und natürlich auch, um neue Märkte zu schaffen.

Als Ergänzung zur DSGVO halten wir die KI-VO für eine überfällige Regelung. Wir sind gespannt, in welchem Umfang die nun anstehenden Verhandlungen über den Verordnungstext noch Änderungen bringen.

Ähnliche Beiträge

Sitemap

Kontakt

Wir freuen uns über Ihr Interesse an unseren Leistungen!
Zum Kontaktformular

bITs GmbH

Datenschutz und Hinweisgebermanagement

Detmolder Straße 204
33100 Paderborn

Kostenloser Newsletter

Abonnieren Sie unseren kostenlosen, monatlich erscheinenden Newsletter mit aktuellen Informationen rund um das Thema Datenschutz. Mit dem Absenden Ihrer Daten willigen Sie ein, dass wir Ihnen den Newsletter an Ihre angegebene E-Mail Adresse senden dürfen und bestätigen, dass Sie unsere Datenschutzhinweise zur Kenntnis genommen haben. Eine Abmeldung ist jederzeit über den in jedem Newsletter zur Verfügung gestellten Link möglich.

  • © 2023 bITs GmbH, Paderborn